Ola a todos! En continuación disto Quero contarche máis sobre a funcionalidade que ofrece a solución Sophos XG Firewall e presentarche a interface web. Os artigos e documentos comerciais son bos, pero sempre é interesante, como é a solución na vida real? Como funciona todo alí? Entón, imos comezar coa revisión.
Este artigo mostrará a primeira parte da funcionalidade de Sophos XG Firewall: "Monitorización e análise". A revisión completa publicarase como unha serie de artigos. Procederemos en función da interface web e da táboa de licenzas de Sophos XG Firewall
Centro de confianza
E así, lanzamos o navegador e abrimos a interface web do noso NGFW, vemos un aviso para introducir o teu nome de usuario e contrasinal para entrar na área de administración
Introducimos o login e o contrasinal que establecemos durante a activación inicial e chegamos ao noso centro de control. Parece así
Case todos estes widgets pódense facer clic. Podes caer no incidente e ver os detalles.
Vexamos cada un dos bloques e comezaremos co bloque System
Sistema de bloques
Este bloque mostra o estado da máquina en tempo real. Se fai clic en calquera das iconas, iremos a unha páxina con información máis detallada sobre o estado do sistema
Se hai problemas no sistema, este widget indicarao e na páxina de información podes ver o motivo
Ao facer clic nas pestanas, podes obter máis información sobre diferentes aspectos do firewall.
Bloque de información de tráfico
Esta sección dános unha idea do que está a suceder na nosa rede neste momento e do que pasou nas últimas 24 horas. As 5 principais categorías web e aplicacións por tráfico, ataques de rede (activado por módulo IPS) e 5 principais aplicacións bloqueadas.
Ademais, a sección Aplicacións na nube merece a pena destacar por separado. Nel pódese ver a presenza de aplicacións na rede local que utilizan servizos na nube. O seu número total, tráfico entrante e saínte. Se fai clic neste widget, dirixiranos á páxina de información sobre aplicacións na nube, onde poderemos ver con máis detalle que aplicacións na nube hai na rede, quen as utiliza e información de tráfico.
Bloque de información sobre usuarios e dispositivos
Este bloque mostra información sobre os usuarios. A liña superior móstranos información sobre os ordenadores dos usuarios infectados, recollendo información do antivirus Sophos e transmitindoa a Sophos XG Firewall. En base a esta información, o Firewall pode, cando está infectado, desconectar o ordenador do usuario da rede local ou do segmento de rede no nivel L2, bloqueando todas as comunicacións con el. Atopábase máis información sobre Security Heartbeat . As dúas liñas seguintes son o control de aplicacións e o sandbox na nube. Dado que esta é unha función separada, non se discutirá neste artigo.
Paga a pena prestar atención aos dous widgets inferiores. Estes son ATP (Advanced Threat Protection) e UTQ (User Threat Quotient).
O módulo ATP bloquea as conexións con C&C, os servidores de control das redes de botnets. Se un dispositivo da túa rede local está nunha rede de botnets, este módulo informará diso e non che permitirá conectarte ao servidor de control. Parece así
O módulo UTQ asigna un índice de seguridade a cada usuario. Canto máis intente un usuario ir a sitios prohibidos ou executar aplicacións prohibidas, maior será a súa valoración. En base a estes datos, é posible proporcionar formación a estes usuarios con antelación sen esperar a que, ao final, o seu ordenador se infecte con malware. Parece así
A continuación móstrase unha sección de información xeral sobre as regras do firewall activo e os informes quente, que se poden descargar rapidamente en formato pdf
Pasemos á seguinte sección do menú - Actividades actuais
Actividades actuais
Comecemos a revisión coa pestana Usuarios en directo. Nesta páxina podemos ver que usuarios están actualmente conectados a Sophos XG Firewall, o método de autenticación, o enderezo IP da máquina, o tempo de conexión e o volume de tráfico.
Conexións en directo
Esta pestana mostra as sesións activas en tempo real. Esta táboa pódese filtrar por aplicacións, usuarios e enderezos IP das máquinas cliente.
Conexións IPsec
Esta pestana mostra información sobre as conexións VPN IPsec activas
Pestana Usuarios remotos
A pestana Usuarios remotos contén información sobre usuarios remotos que se conectaron mediante VPN SSL
Ademais, nesta pestana podes ver o tráfico por usuario en tempo real e desconectar á forza de calquera usuario.
Omitamos a pestana Informes, xa que o sistema de informes deste produto é moi voluminoso e require un artigo separado.
Diagnostics
Ábrese inmediatamente unha páxina con diferentes utilidades para atopar problemas. Estes inclúen Ping, Traceroute, Busca de nomes, Busca de rutas.
A continuación hai unha pestana con gráficos do sistema de hardware e carga de portos en tempo real
Gráficos do sistema
A continuación, unha pestana onde podes comprobar a categoría do recurso web
Busca de categorías de URL
A seguinte pestana, Captura de paquetes, é esencialmente unha interface tcpdump integrada na web. Tamén pode escribir filtros
Captura de paquetes
Unha cousa interesante a destacar é que os paquetes convértense nunha táboa na que pode desactivar e habilitar columnas adicionais con información. Esta funcionalidade é moi conveniente para atopar problemas de rede, por exemplo: podes comprender rapidamente que regras de filtrado se aplicaron ao tráfico real.
Na pestana Lista de conexións pode ver todas as conexións existentes en tempo real e información sobre elas
Lista de conexións
Conclusión
Conclúe así a primeira parte da revisión. Examinamos só a parte máis pequena da funcionalidade dispoñible e non tocamos en absoluto os módulos de seguridade. No seguinte artigo analizaremos a funcionalidade integrada de informes e as regras do firewall, os seus tipos e fins.
Grazas polo teu tempo.
Se tes algunha dúbida sobre a versión comercial de XG Firewall, podes contactar connosco, a empresa , distribuidor de Sophos. Todo o que tes que facer é escribir en formato libre en .
Fonte: www.habr.com